Как установить трафик с аутентификацией OAuth2

Question

Я использую трафик в качестве обратного прокси.Я хочу установить аутентификацию OAuth2 для точки входа.В документе я нашел Forward Authentication , который, я думаю, может быть полезен для этого.Но документ слишком прост

. Эта конфигурация сначала перенаправит запрос на http://authserver.com/auth.

. Если код ответа 2XX, доступ предоставляется, и исходный запрос выполняется.В противном случае возвращается ответ от сервера аутентификации.

Я понятия не имею, как я могу достичь аутентификации OAuth2 в пересылке?Я пытался oauth2_proxy , но не нашел решения.
В этом выпуске / комментарии парень нашел решение.Но на самом деле это были двойные обратные прокси.

Answer 1

Вместо того чтобы пытаться заставить Traefik поддерживать ваш случай, позвольте Traefik делать то, что он делает лучше всего, и вместо этого использовать Keycloak Gatekeeper для аутентификации (и, возможно, авторизации).

Это изменило бы ваши настройкиот

Client -- Traefik -- Service

до

Client -- Traefik -- Gatekeeper -- Service

Это означает, что и Traefik, и Gatekeeper действуют как обратный прокси.

С таким подходом невероятно просто моделировать сложные настройки аутентификации.Однако одним потенциальным недостатком является дополнительный уровень RP, поэтому для высокопроизводительных установок это может быть не идеальным решением.

Обратите внимание, что Gatekeeper может работать с любым IIDP, совместимым с OIDC, поэтому вам не нужно запускать Keycloak дляиспользуйте это.

Answer 2

Я недавно создал приложение для этого: https://github.com/thomseddon/traefik-forward-auth

Оно использует прямую аутентификацию, как вы упомянули, и использует Google OAuth для аутентификации пользователей.

Есть пример составления докеранастройка здесь: https://github.com/thomseddon/traefik-forward-auth/blob/master/example/docker-compose.yml

Дайте мне знать, если это полезно!